Азия под угрозой!
⏺️ Вирус UAT-8099, связанный с Китаем, атакует серверы IIS в Азии с помощью вредоносного ПО BadIIS SEO.
🧾 Обнаруженная с помощью Cisco Talos активность была направлена на уязвимые серверы Internet Information Services (IIS), расположенные по всей Азии, но с особым акцентом на цели в Таиланде и Вьетнаме. Масштабы кампании в настоящее время неизвестны.
🎇 «UAT-8099 использует веб-оболочки и PowerShell для выполнения скриптов и развертывания инструмента GotoHTTP, предоставляя злоумышленнику удаленный доступ к уязвимым серверам IIS», — заявил исследователь безопасности Джои Чен
⛓️💥 Цепочка атак начинается с того, что UAT-8099 получает первоначальный доступ к серверу IIS, как правило, используя уязвимость безопасности или слабые настройки в функции загрузки файлов веб-сервера. Затем злоумышленник инициирует ряд шагов для развертывания вредоносных полезных нагрузок:
➡️ Выполнение команды обнаружения и разведки для сбора информации о системе.
➡️ Разворачивание VPN-инструментов и обеспечение постоянный доступ, создав скрытую учетную запись пользователя с именем "admin$".
➡️ Внедрение новых инструментов, такие как Sharp4RemoveLog (удаление журналов событий Windows), CnCrypt Protect (скрытие вредоносных файлов), OpenArk64 (антируткит с открытым исходным кодом для завершения процессов продуктов безопасности) и GotoHTTP (удаленное управление сервером).
➡️ Разворачивание вредоносного ПО BadIIS, используя только что созданную учетную запись.
🔎 Компания Cisco Talos сообщила об обнаружении трех различных вариантов в кластере BadIIS asdSearchEngine:
➡️ Эксклюзивный вариант с несколькими расширениями, который проверяет путь к файлу в запросе и игнорирует его, если он содержит расширение из списка исключений, которое может быть ресурсоемким или препятствовать отображению веб-сайта.
➡️ Вариант «Загрузка HTML-шаблонов» содержит систему генерации HTML-шаблонов для динамического создания веб-контента путем загрузки шаблонов с диска или использования встроенных резервных вариантов и замены заполнителей случайными данными, датами и содержимым, полученным из URL-адресов.
➡️ Вариант проверки соответствия запрошенного пути динамическому расширению страницы или индексу каталога, который проверяет, соответствует ли запрошенный путь динамическому расширению страницы или индексу каталога.
❗️ На данный момент не зафиксированы случаи атаки в РФ, но будьте внимательны!
#apt #iis #attack
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
#apt #iis #attack
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍8🔥7🗿2
Коллеги, продолжаем серию практикумов от Codeby Academy🔥
Встречаемся в понедельник и проводим настоящее OSINT-расследование с Катей Тьюринг.
🟧 Регистрация в боте: https://osint-workshop.codeby.school/
Что будет:
🟧 Реальное OSINT-расследование с экспертом
🟧 Поиск скрытых связей, бенефициаров бизнеса и теневых "решал"
🟧 Работа с открытыми источниками без шаблонов
🟧 Построение гипотез и их проверка в процессе
🟧 Верификация данных и аналитические решения
Вы увидите работу опытного OSINT-аналитика в прямом эфире — с логикой, находкой, и решениями.
Почему важно быть онлайн: можно задавать вопросы и по ходу увидеть процесс, понять как формируется аналитическое мышление.
🟧 2 февраля , 19:00 МСК
🟧 Онлайн, бесплатно
🟧 Регистрация: https://osint-workshop.codeby.school
Вопросы по участию:
@CodebyAcademyBot
Встречаемся в понедельник и проводим настоящее OSINT-расследование с Катей Тьюринг.
Что будет:
Вы увидите работу опытного OSINT-аналитика в прямом эфире — с логикой, находкой, и решениями.
Почему важно быть онлайн: можно задавать вопросы и по ходу увидеть процесс, понять как формируется аналитическое мышление.
Вопросы по участию:
@CodebyAcademyBot
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍5🔥4👎3😁1
Волнительный момент. Хотим его разделить с вами.
Мы обновили наш сайт и хотим понять, как он вам: codeby.academy
Мы обновили наш сайт и хотим понять, как он вам: codeby.academy
🔥24❤8👍7😎1
Друзья, напоминаем, на каких курсах начинается обучение в феврале🚗
Старт 2 февраля:
⏺️ Курс «Цифровая криминалистика и реагирование на инциденты ОС Linux (DFIR)» — ищем и анализируем следы кибервзломов (анализ артефактов, работа с opensource инструментами).
⏺️ Курс «Профессия DevSecOps - инженер: безопасная разработка» — освоите DevSecOps-инженерию: от автоматизации безопасности до работы с Kubernetes и Terraform.
⏺️ Курс «Реверсивный инжиниринг ПО под ОС Windows» — освоим техники по поиску уязвимости и рассмотрим методы заражения машин.
⏺️ Курс «Введение в Реверс инжиниринг» — научимся взламывать программы и файлы без наличия исходного кода на компилируемых языках.
Старт 9 февраля:
⏺️ Курс «Основы кибербезопасности» — освоите ключевые навыки информационной безопасности: от основ Linux до проведения пентестов.
⏺️ Курс «Администрирование ОС Linux» — познакомимся с Linux и смежным ПО: от основ командной строки до развертывания Kubernetes.
Старт 16 февраля:
⏺️ Курс «Профессия Пентестер» — учимся эксплуатировать онлайн-уязвимости и обходить антивирусы. Изучаем инструменты: сканеры, Bash-скрипты, пентест AD.
⏺️ Курс «Анализ защищенности приложений Андроид» — изучим этапы создания мобильного приложения, приемы реверса и возможные уязвимости.
⏺️ Курс «Профессия AppSec-инженер» — научитесь анализировать код, находить уязвимости, строить безопасную архитектуру и применять OWASP-практики на реальных проектах. Запись на первый поток с выгодой 10➗
✉️ Запишитесь у нашего менеджера @CodebyAcademyBot
Или узнайте подробности и программы курсов на нашем➡️ сайте
Старт 2 февраля:
Старт 9 февраля:
Старт 16 февраля:
Или узнайте подробности и программы курсов на нашем
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤7👍7
Коллеги, уже в 19:00 МСК пройдет бесплатный практикум по коммерческому OSINT с Катей Тьюринг!
🟧 Регистрация в боте: https://osint-workshop.codeby.school/
Что будет:
🟧 Реальное OSINT-расследование с экспертом
🟧 Поиск скрытых связей, бенефициаров бизнеса и теневых "решал"
🟧 Работа с открытыми источниками без шаблонов
🟧 Построение гипотез и их проверка в процессе
🟧 Верификация данных и аналитические решения
Вы увидите работу опытного OSINT-аналитика в прямом эфире — с логикой, находкой, и решениями.
Почему важно быть онлайн: можно задавать вопросы и по ходу увидеть процесс, понять как формируется аналитическое мышление.
Присоединяйтесь сейчас!
🟧 Регистрация: https://osint-workshop.codeby.school
Вопросы по участию:
@CodebyAcademyBot
Что будет:
Вы увидите работу опытного OSINT-аналитика в прямом эфире — с логикой, находкой, и решениями.
Почему важно быть онлайн: можно задавать вопросы и по ходу увидеть процесс, понять как формируется аналитическое мышление.
Присоединяйтесь сейчас!
Вопросы по участию:
@CodebyAcademyBot
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤9🔥6😁2
This media is not supported in your browser
VIEW IN TELEGRAM
🔥34❤19👍12🍌7👎4😁4🗿2👀1🤝1
CloudRip
Инструмент, помогающий найти реальные IP-адреса, скрывающиеся за Cloudflare, путем проверки поддоменов. Подходит для тестирования на проникновение, исследований в области безопасности и изучения принципов работы защиты Cloudflare.
📕 Характеристика:
1️⃣ Обнаружение нескольких IP-адресов — находит ВСЕ IP-адреса за доменом, а не только первый
2️⃣ Динамическое обнаружение IP-адресов Cloudflare — получает последние диапазоны IP-адресов из API Cloudflare (с резервным вариантом)
3️⃣ Фильтрация IP-адресов Cloudflare — показывает только реальные адреса серверов
4️⃣ Ограничение скорости — не будет рассылать спам целевому серверу и блокировать вас
5️⃣ Поддержка IPv4 и IPv6 — разрешает записи A и AAAA
💻 Установка:
📌 Запуск:
➖ Запуск и использованием нескольких словарей:
➖ Запуск с подробным режимом:
#tools #osint #web
➡️ Все наши каналы 💬 Все наши чаты ⚡️ Для связи с менеджером
Инструмент, помогающий найти реальные IP-адреса, скрывающиеся за Cloudflare, путем проверки поддоменов. Подходит для тестирования на проникновение, исследований в области безопасности и изучения принципов работы защиты Cloudflare.
git clone https://github.com/moscovium-mc/CloudRip
cd CloudRip/
pip3 install -r requirements.txt
python3 cloudrip.py <DOMAIN>
python3 cloudrip.py <DOMAIN> -w <WORDLIST> -w <WORDLIST2>
python3 cloudrip.py <DOMAIN> -v
#tools #osint #web
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13👍7🔥7
Специалисты Computer Security and Industrial Cryptography обнаружили критическую уязвимость с идентификатором CVE-2025-36911 и названием WhisperPair в протоколе Google Fast Pair. Проблема затрагивает миллионы наушников, гарнитур и колонок по всему миру (Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi).
Эта атака занимает в среднем 10 секунд на реалистичных дистанциях (до 14 метров) и не требует физического доступа к уязвимому устройству.
Стоит отметить, что Google признала проблему, выплатив исследователям максимальное вознаграждение в размере $15 000 и совместно с производителями начала выпуск патчей.
🔎 Причина возникновения уязвимости
▶️ Чтобы запустить процедуру быстрого сопряжения, телефон отправляет сообщение аксессуару с указанием на необходимость сопряжения.
▶️ В спецификации быстрого сопряжения указано, что если аксессуар не находится в режиме сопряжения, он должен игнорировать такие сообщения. Однако на практике многие устройства не выполняют эту проверку, что позволяет неавторизованным устройствам запускать процесс сопряжения.
▶️ Получив ответ от уязвимого устройства, злоумышленник может завершить процедуру быстрого сопряжения, установив обычное Bluetooth-соединение.
❗️ Последствия
WhisperPair позволяет злоумышленникам принудительно подключить уязвимый аксессуар Fast Pair к устройству, контролируемому злоумышленником, без согласия пользователя, что дает ему полный контроль над устройством.
🌐 Отслеживание жертв с помощью сети Google Find Hub
Если аксессуар никогда не был сопряжен с устройством Android, злоумышленник может добавить его с помощью своей учетной записи Google, что позволяет злоумышленнику отслеживать пользователя с помощью взломанного аксессуара.
⬇️ Рекомендации по устранению
Для начала можно ознакомиться со списком уязвимых устройств, который представлен на странице исследователей.
1️⃣ Единственный способ устранить эту уязвимость — установить обновление программного обеспечения (прошивки), выпущенное производителем аксессуара.
2️⃣ После обновления прошивки нужно обязательно сбросить наушники к заводским настройкам, чтобы очистить весь список сопряженных устройств, включая нежелательные пары.
#news #Bluetooth #WhisperPair
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Стоит отметить, что Google признала проблему, выплатив исследователям максимальное вознаграждение в размере $15 000 и совместно с производителями начала выпуск патчей.
Google Fast Pair позволяет выполнять сопряжение и синхронизацию учётных записей с поддерживаемыми аксессуарами Bluetooth в одно касание. Чтобы сопрячь со смартфоном новую гарнитуру, поддерживающую эту технологию, достаточно включить ее и поднести к смартфону.
WhisperPair позволяет злоумышленникам принудительно подключить уязвимый аксессуар Fast Pair к устройству, контролируемому злоумышленником, без согласия пользователя, что дает ему полный контроль над устройством.
Некоторые устройства также поддерживают сеть Google Find Hub, что позволяет пользователям находить потерянные аксессуары с помощью отчетов о местоположении с других устройств Android.
Если аксессуар никогда не был сопряжен с устройством Android, злоумышленник может добавить его с помощью своей учетной записи Google, что позволяет злоумышленнику отслеживать пользователя с помощью взломанного аксессуара.
Для начала можно ознакомиться со списком уязвимых устройств, который представлен на странице исследователей.
#news #Bluetooth #WhisperPair
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍3🔥3